มาตรฐานความปลอดภัยทางไซเบอร์สำหรับยานยนต์ ISO/SAE 21434: ความเกี่ยวข้องด้านกฎระเบียบของ UNECE R155 และการเน้นการตรวจสอบห่วงโซ่อุปทาน

/ ไอเอสโอ, หลักสูตรออนไลน์สำหรับการฝึกอบรมภายในองค์กร / โดย

ISO/SAE 21434 คืออะไร? ไม่ใช่แค่เรื่องความปลอดภัยทางไซเบอร์เท่านั้น แต่ยังเกี่ยวกับการจัดการความเสี่ยงตลอดวงจรชีวิตของผลิตภัณฑ์ด้วย

ISO/SAE 21434 (ยานยนต์บนท้องถนน — วิศวกรรมความปลอดภัยทางไซเบอร์) เป็นชุดมาตรฐานทางเทคนิคสำหรับการพัฒนาและการจัดการความปลอดภัยทางไซเบอร์ของยานยนต์ ความแตกต่างที่สำคัญที่สุดจากมาตรฐานความปลอดภัยข้อมูลทั่วไปขององค์กร (เช่น ISO 27001) คือการมุ่งเน้นไปที่การจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์สำหรับยานยนต์บนท้องถนนตลอดวงจรชีวิตทั้งหมด

ตั้งแต่แนวคิดเริ่มต้น การออกแบบ การพัฒนา การตรวจสอบ การผลิต และการบำรุงรักษายานยนต์ ไปจนถึงการอัปเดตซอฟต์แวร์ในภายหลัง องค์กรต่างๆ ต้องคิดและจัดการประเด็นด้านความปลอดภัยทางไซเบอร์อย่างเป็นระบบ ซึ่งหมายความว่า ISO 21434 ไม่ได้ประเมินเพียงแค่การดำเนินการป้องกันความปลอดภัยทางไซเบอร์แต่ละอย่างเท่านั้น แต่ยังประเมินว่าองค์กรได้สร้างวิธีการทางวิศวกรรมและการจัดการที่สามารถสนับสนุนการออกแบบความปลอดภัยทางไซเบอร์ การระบุความเสี่ยง การตรวจสอบ และการจัดการอย่างต่อเนื่องของผลิตภัณฑ์ยานยนต์หรือไม่

มีความเชื่อมโยงอย่างแน่นหนากับระเบียบข้อบังคับ UNECE R155

การสร้างมาตรฐาน ISO 21434 มีความเกี่ยวข้องอย่างใกล้ชิดกับข้อกำหนดด้านความปลอดภัยทางไซเบอร์สำหรับยานยนต์ของสหภาพยุโรป ระเบียบ UNECE R155 (ระเบียบคณะกรรมาธิการเศรษฐกิจแห่งสหประชาชาติสำหรับยุโรป ฉบับที่ 155) กำหนดไว้อย่างชัดเจนว่าผู้ผลิตรถยนต์ต้องมีระบบการจัดการความปลอดภัยทางไซเบอร์ (CSMS) เนื่องจากระเบียบ UNECE R155 ได้กลายเป็นข้อกำหนดพื้นฐานที่บังคับใช้สำหรับรถยนต์รุ่นใหม่และทุกรุ่น CSMS จึงกลายเป็นรากฐานที่สำคัญสำหรับการอนุมัติประเภทรถยนต์ ISO/SAE 21434 ได้รับการยอมรับอย่างกว้างขวางในอุตสาหกรรมว่าเป็นมาตรฐานทางเทคนิคและกรอบการปฏิบัติที่ดีที่สุดสำหรับการแสดงให้เห็นถึงความสามารถของบริษัทในกระบวนการพัฒนาความปลอดภัยทางไซเบอร์สำหรับยานยนต์

บริษัทใดบ้างที่จำเป็นต้องนำมาตรฐาน ISO 21434 มาใช้? (กุญแจสำคัญสู่ความสำเร็จในห่วงโซ่อุปทานยานยนต์)

แม้ว่ามาตรฐาน ISO 21434 อาจไม่ได้ระบุอย่างชัดเจนในทางกฎหมายว่า "การรับรองภาคบังคับสำหรับซัพพลายเออร์" แต่ในทางปฏิบัติแล้ว มาตรฐานนี้ได้กลายเป็นเหมือนบัตรผ่านเข้าสู่ตลาด (เงื่อนไขสำคัญในการเข้าถึงตลาด) สำหรับการเข้าสู่ห่วงโซ่อุปทานยานยนต์ กลุ่มลูกค้าที่ต้องการการรับรองนี้อย่างแท้จริงนั้นแบ่งออกเป็นสามประเภทหลัก:

  • ผู้ผลิตอุปกรณ์ดั้งเดิม (OEM) มีความรับผิดชอบสูงสุดในการปฏิบัติตามกฎระเบียบ พวกเขาต้องแสดงให้เห็นว่าพวกเขามีวิธีการทางวิศวกรรมและการจัดการด้านความปลอดภัยทางไซเบอร์ที่เป็นระบบตลอดวงจรชีวิตของยานยนต์ทั้งหมด เพื่อให้เป็นไปตามกฎระเบียบต่างๆ เช่น UNECE R155 นอกจากนี้ ผู้ผลิตอุปกรณ์ดั้งเดิมยังรับผิดชอบต่อความปลอดภัยทางไซเบอร์ของห่วงโซ่อุปทานของตน ซึ่งย่อมส่งผลให้เกิดความต้องการที่สูงขึ้นต่อซัพพลายเออร์ของตนอย่างหลีกเลี่ยงไม่ได้
  • ซัพพลายเออร์ระดับ Tier-1/Tier-n (ซัพพลายเออร์ชิ้นส่วนยานยนต์ทุกระดับ) จะต้องปฏิบัติตามกฎระเบียบอย่างเข้มงวดหากผลิตภัณฑ์ของพวกเขามีส่วนเกี่ยวข้องกับด้านต่อไปนี้:
    • ECU (หน่วยควบคุมอิเล็กทรอนิกส์)
    • สถาปัตยกรรมไฟฟ้า/อิเล็กทรอนิกส์ (E/E Architecture)
    • ระบบช่วยเหลือผู้ขับขี่ขั้นสูง (ADAS) และฟังก์ชันการขับขี่อัตโนมัติ
    • การเชื่อมต่อและระบบโทรคมนาคม
    • ระบบสาระบันเทิง
  • ผู้ให้บริการซอฟต์แวร์ แพลตฟอร์ม และบริการด้านวิศวกรรม (SLP) ต้องดำเนินการหรือแสดงให้เห็นถึงการปฏิบัติตามมาตรฐาน ISO 21434 เพื่อให้มั่นใจได้ว่ามีกลไกการรักษาความปลอดภัยที่เหมาะสมในระหว่างการส่งมอบ หากกระบวนการพัฒนา เครื่องมือ หรือซอฟต์แวร์ของพวกเขาเป็นส่วนหนึ่งของวงจรชีวิตด้านความปลอดภัยทางไซเบอร์ของยานยนต์ (เช่น ระบบ OTA แพลตฟอร์มแบ็กเอนด์บนคลาวด์ แพลตฟอร์มข้อมูล ฯลฯ) และอยู่ภายใต้การตรวจสอบของ OEM หรือรวมอยู่ในโครงการของ OEM

ผู้ตรวจสอบมองหาอะไรบ้าง? 3 ระดับและ 5 องค์ประกอบหลักของการตรวจสอบตามมาตรฐาน ISO 21434

หากบริษัทกำลังเตรียมตัวขอรับการรับรองมาตรฐาน ISO 21434 การตรวจสอบเชิงปฏิบัติควรเน้นที่การแสดงให้เห็นถึงความเชี่ยวชาญในสามระดับต่อไปนี้ ไม่ใช่แค่เพียงคำพูดที่ไร้ความหมาย:

ระดับ 1: การสร้างระบบการจัดการลูกค้าสัมพันธ์ (CSMS) และกระบวนการรักษาความปลอดภัยทางไซเบอร์สำหรับยานยนต์ที่ใช้งานได้จริง

การตรวจสอบจะเน้นไปที่ว่าบริษัทแสดงให้เห็นถึงแนวทางการออกแบบระบบรักษาความปลอดภัยทางไซเบอร์แบบครบวงจรตลอดวงจรชีวิตของผลิตภัณฑ์หรือไม่ ข้อกำหนดด้านความปลอดภัยทางไซเบอร์จะต้องถูกบูรณาการอย่างเป็นระบบในกระบวนการพัฒนา และต้องสนับสนุนการปฏิบัติตามกฎระเบียบและข้อกำหนดของลูกค้า (OEM) อย่างมีประสิทธิภาพ

ระดับสอง: จัดเตรียมหลักฐานที่ตรวจสอบได้ครบถ้วน

การตรวจสอบไม่ได้หมายถึงแค่การดูว่าเอกสารนโยบายเขียนอย่างไร แต่ยังหมายถึงการตรวจสอบ "ร่องรอยการนำไปปฏิบัติ" ด้วย บริษัทต่างๆ ต้องแสดงให้เห็นว่ากิจกรรมด้านความปลอดภัยทางไซเบอร์ของตนสามารถตรวจสอบได้ ติดตามได้ และรับผิดชอบได้ โดยต้องแสดงหลักฐานเฉพาะดังต่อไปนี้:

  • เอกสารประกอบ
  • รีวิว (บันทึกรีวิว)
  • ผลการทดสอบ (บันทึกผลการทดสอบ)
  • การจัดการช่องโหว่

ระดับ 3: แสดงให้เห็นถึงความพร้อมของระบบรักษาความปลอดภัยทางไซเบอร์ "โดยเฉพาะอย่างยิ่งสำหรับแอปพลิเคชันด้านยานยนต์"

บริษัทที่ได้รับการตรวจสอบจะต้องแสดงให้เห็นถึงความสามารถในการจัดการความปลอดภัยของข้อมูลโดยทั่วไป รวมถึงความสามารถที่เกี่ยวข้องโดยตรงกับการพัฒนาด้านยานยนต์ ความปลอดภัยของผลิตภัณฑ์ และกระบวนการซอฟต์แวร์ มาตรฐานการตรวจสอบจะครอบคลุมเทคโนโลยีที่เกี่ยวข้องกับยานยนต์ กระบวนการรักษาความปลอดภัยทางไซเบอร์ การจัดการความเสี่ยง และความรู้เกี่ยวกับความปลอดภัยทางไซเบอร์ของยานพาหนะบนท้องถนน

5 คำถามและคำตอบหลักสำหรับการตรวจสอบเชิงปฏิบัติ (เช็คลิสต์):

  1. การบูรณาการกระบวนการ: บริษัทได้ผนวกรวมการรักษาความปลอดภัยทางไซเบอร์สำหรับยานยนต์เข้ากับกระบวนการพัฒนาและจัดการผลิตภัณฑ์อย่างเป็นทางการแล้วหรือไม่ แทนที่จะรอให้ลูกค้าขอเอกสารเพิ่มเติม?
  2. การกำหนดบทบาท: คุณสามารถระบุบทบาทของผลิตภัณฑ์ ซอฟต์แวร์ แพลตฟอร์ม หรือบริการของคุณในวงจรชีวิตด้านความปลอดภัยทางไซเบอร์ของอุตสาหกรรมยานยนต์ได้อย่างชัดเจนหรือไม่?
  3. การเก็บรักษาหลักฐาน: มีการจัดทำเอกสาร การตรวจสอบ การทดสอบ และกลไกการจัดการช่องโหว่ที่เพียงพอเพื่อพิสูจน์ว่ากระบวนการนี้ไม่ใช่แค่คำพูดเปล่าๆ หรือไม่?
  4. ตรงตามความคาดหวัง: ระดับความพร้อมด้านความปลอดภัยทางไซเบอร์โดยรวมเพียงพอที่จะตอบสนองความคาดหวังที่เข้มงวดของ OEM เกี่ยวกับห่วงโซ่อุปทานหรือไม่?
  5. การบูรณาการระบบ: มาตรฐาน ISO 21434 ได้ถูกบูรณาการอย่างมีประสิทธิภาพกับระบบที่มีอยู่เดิมของบริษัท เช่น IATF 16949 (ระบบการจัดการคุณภาพยานยนต์), ISO 9001 (การจัดการคุณภาพ) หรือ ISO 27001 (การจัดการความปลอดภัยของข้อมูล) หรือไม่?

สรุป

คุณค่าหลักของ ISO/SAE 21434 อยู่ที่การช่วยผู้ผลิตรถยนต์และห่วงโซ่อุปทานจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ของยานยนต์บนท้องถนนอย่างเป็นระบบ โดยไม่ได้เน้นว่าบริษัทจะมีสโลแกนด้านความปลอดภัยทางไซเบอร์หรือไม่ แต่เน้นว่าบริษัทสามารถจัดหา "กระบวนการรักษาความปลอดภัยทางไซเบอร์สำหรับยานยนต์ตลอดวงจรชีวิต" ได้อย่างแท้จริงหรือไม่ และมีหลักฐานการทดสอบและการจัดการช่องโหว่ที่เพียงพอเพื่อพิสูจน์ว่าตรงตามข้อกำหนดและตรงตามความคาดหวังสูงของผู้ผลิตรถยนต์สำหรับระบบการจัดการความปลอดภัยทางไซเบอร์ (CSMS) หรือไม่

ผู้ให้บริการโซลูชั่นแบบครบวงจร

ที่ปรึกษาด้านการจัดการของ Mingzheng ให้คำแนะนำและตรวจสอบอย่างมืออาชีพที่สุดแก่คุณให้บริการ

เข้าร่วม LINE เพื่อรับคำปรึกษาตอนนี้
เลื่อนไปด้านบน